Como eu perguntei sobre os comentários deste tópico: bloqueia todos, exceto alguns ips com firewalld
Estou procurando uma maneira de negar todos os IPs públicos, exceto o meu, na zona pública do firewalld.
Por enquanto, minha zona pública tem apenas serviços ssh / http / https e eu especifiquei as fontes que o IP exigiu em toda a Internet.
O problema é que não entendo por que o firewalld não está filtrando os IPs de origem conforme solicitado?
Normalmente, pelo que entendi, especificando para a zona, os IPs de origem pedem ao Firewalld para descartar todos os pedidos, exceto aqueles que vêm dos IPs especificados.
Mas na minha caixa não está funcionando, já que consigo me conectar na máquina de casa, que não é um dos IPs de origem especificados.
Alguns sugerem que crie uma nova zona chamada "Interno / Outro". Só tenho uma interface pública porque o servidor não está em uma lan privada, então por que eu deveria criar / usar outra zona como a zona pública deveria? solte todos os IPs, exceto aqueles especificados na lista de fontes.
A zona pública do Firewalld torna os serviços adicionados nele abertos para o mundo automaticamente?
Se eu criar uma segunda zona chamada interna, com apenas o serviço ssh e os IPs de origem e, em seguida, vincular essa zona à minha eth0, o firewall bloqueará todos os IPs "não originados"?
É claro que fazer esse processo pressupõe que eu remova o serviço ssh dos serviços servidos pela zona pública.
Meu firewall é:
[root@groot ~]# firewall-cmd --list-all-zones
block
interfaces:
sources:
services:
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
dmz
interfaces:
sources:
services: ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
drop (default)
interfaces:
sources:
services:
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
external
interfaces:
sources:
services: ssh
ports:
masquerade: yes
forward-ports:
icmp-blocks:
rich rules:
home
interfaces:
sources:
services: dhcpv6-client ipp-client mdns samba-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
internal (active)
interfaces: eth0
sources: 192.168.0.0/24
services: ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
public
interfaces:
sources:
services: dhcpv6-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
trusted
interfaces:
sources:
services:
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
work
interfaces:
sources:
services: dhcpv6-client ipp-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules: